Sunday, May 18, 2014

हार्टब्लीड बग

सुचना प्रविधी सम्बन्धी ब्लगिङ्ग र समाचारपत्रहरुमा लेखलेख्ने टेक पण्डीतहरुको गत सप्ताह हार्टब्लीड बग नाम
गरेको ईन्टरनेट सर्भरमा देखीने गम्भीर त्रुटिको चर्चामा गर्दैमा बित्यो भन्दा खासै फरक पर्दैन । वेबसाईट होष्ट गर्ने सर्भरहरुमा हुन सक्ने भनिएको यस किसिमको सेक्युरिटी बग (सुरक्षा त्रुटी) कै कारणले भएको क्षतीको कुनै बिबरण बाहीर आईसकेको नभएता पनि इन्टरनेट सुरक्षा बिज्ञहरुको बुझाईमा यो अहिले सम्मकै सबै भन्दा ठुलो सुरक्षा त्रुटि हो र यसबाट प्रसिद्द ईन्टरनेट जायन्ट कम्पनी याहु लगायत विकिपेडियाको सर्भर समेत प्रभावित भएका थिए । वेबसर्भरहरुमा जडान गरीने ओपन एसएसएल नाम गरेको खुल्ला तथा स्वतन्त्र सफ्टवेयरको प्रयोगबाट हुने भनिएको यो सुरक्षा त्रुटीलाई प्रारम्भमा नै अमेरिकी सुरक्षा निकायहरुले पत्तो लगाएको र त्यही सुरक्षा त्रुटिको प्रयोग गरेर बिभिन्न सर्भरबाट डाटा चोरेको आरोप समेत लगाईएको छ भने त्यसको कतैबाट पुष्टी भने हुन सकेको छैन । बरु ह्वाईट हाउसले एक बिज्ञप्ती जारी गर्दै हल्ला निराधार रहेको बताएको छ ।
गुगलमा कार्यरत प्रविधीसम्बन्धी सुरक्षा विषेशज्ञ निल मेहता र कोडेनोमिकन नाम गरेको एक फ्रान्सेली कम्पनीले झण्डै एकै साथ यस त्रुटी बारेमा समाचार बाहीर ल्याएको थिए । कोडोनोमिकन बिगत १३ वर्ष देखी यसै क्षेत्रमा काम गरिरहेको कम्पनी हो भने मेहता बिगत ११ वर्ष देखि यस क्षेत्रमा छन ।  गुगलमा जागीर खानु ६ वर्ष अगाडी मेहता आईबिएममा गुगलमा जस्तै प्रविधी सम्बन्धी सुरक्षाको बारेमा अध्ययन अनुसन्धान गर्ने गर्दथे ।


के हो त हार्टब्लीड बग ?

- यो एक ओपनएसएसएल नाम गरेको खुल्ला तथा स्वतन्त्र सफ्टवेयरमा देखीएको सुरक्षा त्रुटी हो ।  यस किसीमको सुरक्षा त्रुटिको गलत फाईदा उठाएर ह्याकरहरुले यस्तो बग देखिएको सर्भरबाट जो कोहीको जस्तोसुकै डाटाहरु हात पार्न सक्दछन । यस्तो बग देखा परेको सर्भरले त्यसको मेमोरीमा रहेको डाटालाई पढ्न दिने गर्दछ । एकपटकमा ६४ किलोबिट डाटा सम्म एक्सेस दिने बताईएको यो बगको निरन्तरको प्रयोगले एउटा सर्भरमा भण्डारण भएर रहेको युजरनेम र पासवर्डलाई  गलत ब्यक्तिको हात पर्ने सक्ने चिन्ता ब्यक्त गरीएको छ ।  अमेजन वेब सरर्भिस , टम्बलर, याहु, विकीपेडिया , साउन्डक्लाउड, गिटहब , अकामाई आदी जस्ता ईन्टरनेट बजारमा ठुलो हिस्सा ओगटेका सर्भरहरुमा समेत यस किसीमको सुरक्षा त्रुटि रहेको बताईएको छ । भने यि मध्ये केहीले यो कुरालाई पुष्टी गर्दै प्रयोगकर्ताहरुलाई आफ्नो पासवर्ड परिवर्तन गर्न भनिरहेका छन ।

हार्टब्लीड बगको मुख्य समस्या के हो  ?

-  ट्रान्सपोर्ट लेयर सेक्युरिटी तथा सेक्योर सकेट्स लेयर (एसएसएल) भनेका एक प्रकारको क्रिप्टोग्राफिक प्रोटोकल हो । ईन्टरनेटमा सर्भर र क्लाईन्ट कम्प्युटर बिच संवाद हुदाँ क्लाईन्टबाट सर्भरमा डाटा नपुञ्जेल कुनै तेस्रोपक्षले डाटालाई अधिग्रहण नगरोस भनेर यसको प्रयोग गरीन्छ । कुनै पनि ईमेल सेवाप्रदायक वेबसाईट लगाएत नाम चलेका वेबसाईटहरुको ईन्टरनेट ठेगानामा http को सट्टामा देखिने https यसैको उदारण हो । धेरै प्रकारका एसएसएल मध्ये ओपनएसएसएल पनि एक हो । यसै ओपनएसएसएल जडान गरिएको कम्प्युटरमा रहेको मेमोरिमा रहेको डाटालाई यससम्बन्धी जानकार ब्यक्तीले सजिलै पढ्न सक्छन भन्ने कुरा नै बगको मुख्य समस्या हो ।

के छ त हार्टब्लीड बगको अहिलेको अवश्था  ?

  – प्रारम्भमा जुनजुन ठुला कम्पनीहरुका सर्भरहरुमा पनि यस प्रकारको समस्या छ र यसले भयाभह रुप लिन सक्छ भन्ने हिसाबले चर्चा भएको थियो अहिले त्यो बिस्तारै मत्थर हुदै जाँदैछ । प्रभावित ठुला कम्पनीका सर्भरहरु रिकभर भैसेकेका देखीन्छन भने केही कम्पनीहरु आफ्ना ग्राहकहरुलाई यसबारे सजग गराई रहेका छन । अमेजन जस्ता सर्भर भाडामा दिने कम्पनीहरु आफ्ना ग्राहकहरुलाई यस समस्याबारे जानकारि गराउदै गराउदैछन भने याहु जस्ता आफ्नो सर्भरमा प्रयोगकर्ताको डाटा राखेर बसेका कम्पनीहरु प्रयोगकर्तालाई आफ्नो पासवर्ड परिवर्तन गर्न अभिप्रेरित गरीरहेका छन ।

नेपालमा हार्टब्लीड बगको अवश्था

-  नेपालबाट सञ्चालनमा रहेका केही वेबसाईटहरु अझै पनि यस किसीमको सुरक्षात्रुटीका बाबजुद सञ्चालन भै हेका छन भने यस लेख तपार पार्नु १२ घण्टा अगाडीदेखि गरिएको अनुगमनमा केही वेबसाईटहरुको त्यही समय बिच समस्या सामाधान गरीएको देखीएको छ । समस्या विश्वब्यापी भएको र सरकारी निकायका छोडेर अधिकांश नेपालबाट सञ्चालनमा रहेका वेबसाईटहरु अमेरिका लगायतका बिदेशमा रहेका सर्भरहरुमा होष्ट गरीएको तथा यो समस्याको चिन्ता  गर्न पनि त्यतैबाट गर्न शुरु गरीएकोले नेपालमा यसले खासै केही फरक पार्छ जस्तो देखिदैन ।
यो लेख २०७० साल चैत ३० गते आइतबारको ब्लाष्ट टाइम्स दैनिकमा प्रकाशित भएको थियो ।